はじめに
リスクレジリエンスは頑健なリスクマネジメントではなく、柔軟性を兼ね備えたリスクマネジメントを志向しています。手続きを定めてシステム化すれば自動的に事業・機能維持がなされるものではなく、必ず人がリスクを適時に捉えて事業・機能の断絶を回避し、早期の回復のために行動することが重要になります。
リスクレジリエンスを高めるには、その枠組みを導入するだけでなく、組織内にリスクレジリエンスの考え方を共有し、行動様式として浸透させる必要があります。
本稿では組織のリスクレジリエンスを高める上で、柔軟性を備えた組織、行動様式とはどのようなもので、それをいかに醸成するかについて説明します。
なお、文中の意見は筆者の私見であり、PwC Japan有限責任監査法人および所属部門の正式見解ではないことをお断りします。
1 リスクレジリエントな組織(レジリエンス組織)とは
組織のリスクレジリエンスを高めるためには、組織にも柔軟性が必要になります。リスクレジリエンスの観点からは、柔軟性のある組織とはおおよそ以下のような性質を持ちます。
- フラットでシンプルな組織構造
- 権限移譲(自治・自律)がなされている
- 特定機能や特定外部先への依存関係が軽減・排除されており、分散されている
- 機能や情報ラインがネットワーク化され、冗長性が確保されている
- フィードバックループがない(前後関係で影響が波及しない、増幅しない)
- 可変的な組織・チームによる構成
これらは、ある意味で伝統的な日本企業の組織構造や意思決定プロセス、人事制度等とは必ずしも相性の良いものと言えないかもしれません。最近はDAO(分散型自律組織)やティール組織などの新たな組織モデルも登場してきていますが、これらのモデルはレジリエンスの観点からも柔軟性が高いと言えます。
ここでは組織について述べていますが、ビジネスモデルやオペレーティングモデルにおいても柔軟性を高めるようにすればリスクレジリエンスは強化されます。人口動態の変化により、多数の人員を前提とした従来型のリスクマネジメントの維持は難しくなってきており、柔軟な組織構造を志向する意義は大きいと考えられます。
2 リスクレジリエントなカルチャー(レジリエンスカルチャー)とは
(1)リスクカルチャーとレジリエンスカルチャー
リスクレジリエントなカルチャー(レジリエンスカルチャー)について述べる前に、「リスクカルチャー」について説明し、両者を比較対照してみます。
リスクカルチャーとは、「組織内の個人あるいはグループの行動規範であり、当該組織の現在および将来のリスクを特定し、理解し、オープンに議論し、そして、行動する集合的な能力を決めるもの」※1と定義されます。分かりやすく言うと「組織および構成員によるリスクに対する行動様式」を表しています。
リスクカルチャーを要素分解すると、リスクに気づく「リスクセンス」と行動である「Do the right thing(正しいことを行う)」に整理できます。典型的には組織能力として多様性(多様な視点)をもちながらバイアスを排除して適時にリスクを捕捉し、必要な場合に、組織構成員は信念に従ってスピークアップして正しい判断・行動をすることが期待されます。
特に信念に従ってスピークアップし、行動するためには、心理的安全性※2に配慮することが重要と言われています。心理的安全性については不祥事件の調査報告書において特に言及されることも多いのでご存知の方も多いと思います。
リスクカルチャーはぶれない、芯の強いカルチャーを醸成することを企図しています。キーワードとしては、「規範」、「役職員としての責務」、「説明責任(結果責任)」といったハード(頑健)なキーワードを挙げることができます。
リスクレジリエンスにおいてもこれらの考え方は基礎となる要素であり重要ですが、リスクそのものに対する見方について発想の転換が必要となります。
リスクレジリエンスでは、失敗は必ず起きるという前提を置きます。無条件に失敗してよいわけではありませんが、失敗は避けられないという考えが前提としてあります。そして、失敗したときにどのように行動するのか、起きそうなときにどのように機転を利かせて収束させるのかについて焦点を当てています。
レジリエンスカルチャーでもリスクに気づくリスクセンスは重要な要素ですが、その後の判断・行動の導き方が特に異なります。「Do the right thing(正しいことを行う)」をしていても、残念ながら失敗は起き得るものであり、それに対してどのように対処しているのかに目を向けます。
日々の事業活動において潜在的なリスク事案は多数生じている一方で、実際にはうまく対処して事なきを得ていることも多いと思われます。
リスクレジリエンスは、失敗をどのように最小化するかという発想ではなく、うまく対応することができているのであればそのような組織、特に人による補完的な行動を肯定的に捉え、それを組織力として再現性を高めていくことに着目したアプローチになります。つまり、組織としての学習能力の向上を志向したものになっています。
(2)リスクマネジメントの2つの概念
ここで2つのリスクに対する見方・考え方を紹介します。(図表1)は安全マネジメントにおけるリスクに対する考え方※3をまとめたものです。
図表1:2つのリスクに対する考え方
| タイプ1 | タイプ2 | |
| リスクに対する考え方 | リスク事象は機能不全、手順を順守しないことで生じる | 機能が維持され正しい手順で行っても、状況次第でリスク事象は生じる |
| リスクへの対応方針 | 失敗やミスを最小化する | より良い結果を導くことを最大化する |
| リスクマネジメントの考え方 | 事前に定めた手順の順守、失敗の原因を分析し、再発防止策を講じる | 事前予測、モニタリング、状況に応じた対応、強化学習 |
| 人に対する考え方 | 人は間違える(事前に定められた正しい手順から逸脱する) | 人は資源である(人により臨機応変に調整・対応される) |
出所:PwC作成
リスクレジリエンスにおけるリスクの見方、また醸成したいリスクに係る行動様式(レジリエンスカルチャー)はタイプ2になります。
タイプ1のリスクマネジメントは事務リスクなど、事前に手続きを定め、しっかりと順守することで多くのリスクが避けられるものを対象にします。一方で、リスクレジリエンスで捉えることが期待される外的リスクや、不確実性が高くリスクの想定が難しいものについてはタイプ2による柔軟性(別の言葉で表すと調整力や適応性)を兼ね備えた管理が有効になります。
注意が必要なのは、タイプ1に見られるリスクマネジメントやリスクに係る行動様式(リスクカルチャー)は否定されるものではなく、状況に応じて2つの概念を使い分けることが求められるということです。
本稿では単純化して述べていますが、実際のリスクマネジメント活動において、おそらく意識されないまでもそれぞれの要素は一定程度は具備されていると思います。問題があるとすると、この2つの概念を意識して使い分けられていない、また場合によっては対立概念として捉えてしまっているところにあると考えられます。
タイプ2のリスクマネジメントは、危機事象が生じた場合にいきなり発揮できるものではなく、日常のリスク対応の経験を積み重ね、再現性を高めることで実行性が高まるという考え方です。
そのため組織・領域によっては、事前に失敗を想定したシナリオ分析(プレモーテム手法)を行ったり、管理された環境で人為的に混乱を生じさせ、リスク対応力を高める実験的アプローチ(カオスエンジニアリング手法)をとっている例もあります。
大きな事故を防ぐには、事前の訓練が重要ということもありますが、リスクレジリエンスの考え方は、振れ幅の小さいリスクをあえて発生させることでリスクを分散し吸収するという意味も含んでいます。
ここまで述べたリスクレジリエンスは、「ポジティブなインパクト(より良い影響を与える)」、「権限、裁量権」、「自主的な判断による行動、調整」といったソフト(柔軟)なキーワードが当てはまるでしょう。
3 レジリエンスカルチャー醸成に必要なこと
それではどのようにすればレジリエンスカルチャーを醸成できるのでしょうか。ここでは一般的なリスクカルチャーの醸成と対比しながら説明します。
先に述べておきますが、2つのリスクマネジメントの考え方と同様に、醸成すべきカルチャーは二者択一ではなく両方の視点から醸成していく必要があります。
リスクカルチャーの醸成施策にはさまざまなものがありますが、おおよそ以下の4つの視点※4で整理できます。
- 経営トップの基本理念(Tone at the Top)
- 説明責任・結果責任(Accountability)
- 有効なコミュニケーションと異議申し立て(Effective Communication and Challenge)
- 動機付け(Incentive System)
(図表2)は4つの視点について、(図表1)と同様に、従来型のリスクマネジメントにおけるリスクカルチャーの醸成(タイプ1)とリスクレジリエンスにおけるレジリエンスカルチャーの醸成(タイプ2)であえて違いが分かるように整理したものになります。
図表2:2つのカルチャー醸成のアプローチ
| タイプ1 | タイプ2 | |
| 経営トップの基本理念 |
|
|
| 説明責任・結果責任 |
|
|
| 有効なコミュニケーションと異議申し立て |
|
|
| 動機付け |
|
|
出所:PwC作成
従来型のリスクカルチャーの醸成(タイプ1)は前述の通り、何があるべき姿なのか、正しいことなのかを経営トップから末端まで認識を共有し、経営トップ自ら実践し、問題があれば勇気をもって正しいことを上司に対して進言するという芯の強いカルチャーを醸成するアプローチです。また、この4つの視点を打ち出すきっかけとなった金融危機においては、組織が許容可能な水準以上にリスクを取っていたことから、必要以上のリスクを取らないための動機付け(端的には業績評価基準やそのようなリスク思考を持った人の採用を防止する)に焦点を当てたものになります。金融リスクマネジメントに限らず、昨今の品質不正などコンプライアンスリスク(コンダクトリスク)における組織的不適切行為の排除のため、強い統制環境を整えるという発想にも共通するものです。
タイプ2のレジリエンスカルチャーは、原理原則を示し、トップから末端まで認識共有しますが、そこから先はある程度の権限を与え、創意工夫の中でオプション・可能性を模索しつつ対処するという方式です。現場で起きるさまざまな事象に対して全てを標準化することは難しいことから、現場での調整力・適応力により重点を置いた考え方になります。具体的には、そういった現場での調整力・適応力を許容するカルチャー、現場での自主的・能動的な行動を誘発するカルチャー、またそれらの再現性を高めるための情報の共有や連携を促進するカルチャーに重点を置くことになります。
これは、災害等の事故に限らず、先に触れたコンプライアンスリスク(コンダクトリスク)に当てはめることも可能と思われます。経営トップ自ら正しいカルチャーを醸成しているはずが、不祥事件が繰り返し発生している組織も残念ながら見受けられますが、持続可能性という視点で捉え直すヒントになると思います。
本稿で述べたタイプ2によるリスクマネジメントは人の可能性に改めて着目した考え方です。AIなど新たなテクノロジーが台頭してくる中で、技術をうまく取り込むことが人の可能性をより拡張し、高め、リスクセンスを持った能動的なリスクマネジメントの高度化につながることを祈念し、本稿を締めくくりたいと思います。
※1 International Institute of Finance report “Reform in the financial services industry:Strengthening Practices for a More Stable System” 2009年(日本語訳は日本銀行作成) https://www.boj.or.jp/finsys/c_aft/basic_seminar/data/rel171024a6.pdf
※2 「心理的安全性とは、率直に発言したり懸念や疑問やアイデアを話したりすることによる対人関係のリスクを、人々が安心して取れる環境のことである」(『恐れのない組織「心理的安全性」が学習・イノベーション・成長をもたらす』エイミー・C・エドモンドソン著、英治出版、2021年)
※3 Erik Hollnagelによる安全マネジメントに関する考え方で、Safety–IとSafety–IIによる安全マネジメントを提唱している。
※4 金融危機を教訓に、G20で組成された金融安定理事会(FSB)において2014年に提唱された「リスクカルチャー醸成のための4つの重要要素」より。
執筆者
PwC Japan有限責任監査法人
パートナー 辻田 弘志
